Pages

Apr 14, 2013

サイバー戦争と国際ルール作り。ここまでのあらすじ

いわゆるサイバー戦争について2013年4月時点での現況、特にノームの議論についての状況を整理してみた。私的な興味に基づいて調べた結果のとりまとめであることをご理解いただきたい。

サイバー空間とは

サイバー空間(Cyber-space)という言葉は「情報通信技術を用いて情報がやりとりされる、インターネットその他の仮想的な空間」ということで日本国内外において広く認識されている。 「インターネットその他の仮想的な空間」とあることからもわかるとおり、サイバー空間は無線通信ネットワークやインターネットに接続されていない閉域のネットワークまでを含むより大きな概念である。

サイバー戦争とは

サイバー戦争(Cyber-War)という言葉の定義は未だ検討がおこなわれている段階である。歴史を紐解けば、少なくとも1990年代前半には近い将来の脅威としてサイバー戦争を懸念する研究者がいた。当時は"Hyper War"、"Net War"そして"Cyber War"など呼ばれ定義も様々であった。

(インターネットの普及に伴いその上で起こる一般的な衝突をNet War、軍隊が行うものをCyber Warと呼び分ける程度の分類は行われていたようである。)

膨張する定義

この文章を書いている時点でサイバー戦争の定義は膨張を続けている。サイバー戦争という言葉が使われるのは主に2つのパターンのようである。

一つは行為者に着目するものであり、サイバー空間への攻撃の主体となる者が政府あるいは軍隊の場合にそれをサイバー戦争とするものである。もう一つは被害状況に注目し、その被害から政治的な目的が感じられるものをサイバー戦争とするものである。

特に後者の場合は過去十数年繰り返し行われてきた攻撃も戦争として捉えられる。

既存の戦時法と整合させる試み

戦時法や安全保障の専門家の間では、既存の法と整合させ、より厳密な定義を行おうとする動きがある。たとえばキングス・カレッジ・ロンドンのThomas Ridは”Cyber War Will Not Take Place”という論文でサイバー戦争の条件を"一に暴力性があること。第二に暴力的行為の先に目的があること。第三に政治的であること"と位置づけた。この3つをすべて満たすもののみをサイバー戦争とよぶということにすると、現在起きている事象はすべてその条件を満たさないためサイバー戦争は発生しておらず、また今後も起こる確率は低いという主張である。

サイバー戦争の実例

サイバー戦争についての定義がない状況ではあるものの、1)湾岸戦争時に米軍がイラク軍のネットワークに侵入しイラク軍の将校に投降をもとめるメールを送った 2)イスラエル軍のシリア空爆に際して事前にレーダーシステムを無力化する攻撃が行われた 3)人民解放軍が米国の国防省のネットワークから文書などを盗み出したなどという事例が、真偽が不明のまま「サイバー戦争」が起きている証拠として報道され、結果的にサイバー戦争の脅威が増しているという印象を与えている。

専門家は、現実に起きた(あるいは起きたとおもわれる)事象について評価するなかで、サイバー戦争を定義しようとしている。その際に多く引用される以下3つの事例について経緯を抑えておけば、今後の議論を理解しやすい。

標的型攻撃、APT攻撃

高度な手法を用いて、かつ執拗に同じ標的に対して侵入を試み、その情報を盗み出そうという試みがAPT攻撃などと呼ばれている。APT攻撃はさらに攻撃者のグループやその手法によって、細分化される。

特に話題に登るのは1990年代後半から行われていたとされるムーンライトメイズ(Moonlight Maze)、そして2003年頃に確認されたタイタンレイン(Titan Rain)である。どちらも米国の安全保障関連の組織、企業が狙われ、発覚したときには多くのデータが世界各地の攻撃者が所有すると思われるサーバに転送されていた。攻撃に使用されたIPアドレス、ツールなどから中国による攻撃とする説が多い。

最近では米国の民間企業がAPT1というグループが米国政府とその関連機関に対して行ったという攻撃の詳細を公表し話題になった。

エストニアへのDDoS攻撃

2007年4月から5月にかけてエストニアの政府や金融機関などのWebサイトに断続的にDDoS攻撃が行われた件である。各種手続きなどのオンライン化が進んでいるエストニア関係者に大きな動揺をもたらすのと同時に、その当時緊張関係にあったロシアの関与が噂された。当時のエストニア政府高官は攻撃を指示したのはロシアであると非難した。

その後NATOがサイバーセキュリティに関する専門機関CCDCOEをエストニアの首都タリンに設置するきっかけとなる。

Stuxnet

2010年に主にイランなど中東諸国で感染がみられる、USBドライブを媒介して感染を広げるタイプのウイルスとして報道される。後に稼働する条件などから推定してイランが保有する核燃料施設のウラン濃縮用遠心分離機を誤動作させるものと発覚した。

2012年6月にニューヨーク・タイムズがオバマ大統領とイスラエル政府がStuxnet作成に関与したと報じる

サイバー戦争への懸念

サイバー戦争の問題について今後の議論を進めるために、主要なプレーヤーがなにを問題として認識しているかを整理したい。

民間事業者の懸念

まずかつての戦場(陸海空)とちがい、サイバー戦争では民間が所有するインフラ(コンピューターやルータ)が戦場となる。これについてISPなどの通信事業者は自らが戦争行為に巻き込まれることを懸念する。

また、サイバー空間で軍隊と軍隊が直接衝突するのではなく、相互に他国の電力や鉄道やオンラインバンキングなどの重要なインフラを狙う可能性が高い。

さらにサイバー戦争への防御力を向上するために、民間事業者に対して、何らかの規制を加えようとする動きはすでに米国などでおきている。リチャード・クラークは自著で民間事業者にサイバー戦争対策を強制するよう働きかけたが、そこで様々な困難があったことを告白している。

サイバー戦争の脅威が事実であったとして、民間事業者に追加のセキュリティ対策を義務付けるのは、核戦争時代に電力会社に弾道弾迎撃ミサイルの設置を義務付けるのと同義であるという声がある。

軍隊の懸念

2012年9月防衛省はサイバー空間防衛の指針を示した。この中でサイバー攻撃の特性として以下をあげている。

  • (1)多様性 (主体、手法、目的、状況において)
  • (2)匿名性
  • (3)隠密性
  • (4)攻撃側の優位性
  • (5)抑止の困難性

原文はサイバー攻撃に対応することの難しさを、端的にまとめるものなので、ここで引用したが、世界各国の軍隊において概ね同様の認識がされているとおもわれる。

政府

(省略)

ノーム(国際規範)とCBM(信頼醸成装置)

サイバー戦争という見えない脅威への対応について、ノーム(国際規範)とCBM(信頼醸成装置)の確率に向けた努力が官民においてはじまっている。

ノームについて誤解を恐れず一言で単純化すれば「サイバー戦争のルール」である。現実の世界の戦争にも、核兵器の拡散を防止するルールがあり、捕虜の虐待を禁じるルールがある。サイバー空間でも同様のルールが必要ということである。

CBM(TCBMと呼ばれることも)として有名なのはキューバ危機のあとに、米ソ首脳の間に設置されたホットラインがある。敵対する勢力との間にも、事態が不要にエスカレートしないように直接対話できる窓口が必要であるという。

ノームとCBMの確立に向けた国際社会の主要な取り組みを、以下にプレーヤーごとにまとめる。

ロシアと中国

2011年9月にロシアと中国とタジキスタンとウズベキスタンが国連総会に”Internet code of conduct for information security”を作ることを提案した。ここでの中ロの提案の趣旨は以下のとおり。

  • インターネット上には国家の主権が認められ、従って国家の権利と責任が発生するということ
  • どの国家もインターネットを敵対的行為のために使用することは許されないこと(つまりインターネットの軍事利用を制限しようとしている)
  • インターネットを管理するより透明性の高い仕組みを作る必要があり、国連がそれを検討する上で主導的な立場を果たすこと

ロシアと中国と一括りにしてしまうのは乱暴であるが、少なくとも両国が国際社会に提案している内容からは、両国のゴールはサイバー戦争の脅威低減にとどまらず、米国とその関連機関が実効支配している(と彼らが考える)現在のインターネットのガバナンスを変えていくということにあるとおもわれる。

国連

国連の中では特にGGEとITUの取り組みについて書き留めておく。

UN GGE

国選総会は個別の問題について検討する政府専門家会合GGE(Group of Governmental Expert)を招集できる。メンバーは地域からの推薦により決定される。

情報セキュリティの分野では2004年にロシアの提案でGGEが構成されるが合意して声明を出すに至らなかった。 2009年に再度構成され2010年にサイバーセキュリティに関するノームの議論を続けるべきなど5項目の提案を含んだレポートを完成した。

2012年に再度構成され、2010年の提案をもとにより踏み込んだノームの具体案が提案されると期待されている。

ITU

国連の専門機関の一つであるITUはサイバー戦争について、ポジションを明確にとっていない。一方で中東政府機関などから情報を盗み出したとされるウイルスの分析を民間ベンダーと協力して行い、その結果を各国に提供するなど、サイバー攻撃対策に必要となる技術的な能力を高めている。

ロンドン会議

2011年9月にイギリス外相の呼びかけで開始。西側諸国の政府が中心に参加し、サイバー戦争への備えが必要であるのを認めつつも既存の国際法や関連制度を大きく変えたくないというスタンスをとる会議体である。

ロンドンでの初回の会合では、現時点でサイバー攻撃対策について強制力を持つ国際法を新設するのは時期尚早と結論付けた。2012年にブダペスト、2013年にソウルでの会議が予定されており、上記のメッセージを繰り返し発出していくと考えられている。

NATO CCDOE

タリン・マニュアルという文書が2013年3月に正式に公開された。国際法などの専門家の3年におよぶ検討をもとにつくられた。事務局としてこれをサポートしたのがNATO CCDOEである。

このマニュアル作成に関わった専門家によれば、目的は既存の国際法がサイバー空間にどのように適応されうるかを議論するためのたたき台づくりである。従ってサイバー戦争に関するノームのあり方を提案するのではなく、現状の国際法を説明することに主眼がおかれている。

タリン・マニュアルでは少なくとも5つの重要な問題提起が行われている。

  1. 戦争行為への直接的関与に関する構成要件
  2. サイバー攻撃の構成要件
  3. 中立性の原則はサイバースペースに適用されうるか
  4. 人道的支援を行う中立機関(例えば赤十字社)のサイバースペースでの立場
  5. 非政府組織によるサイバー攻撃の取り扱い

あくまで出発点とはいえ、海戦のあり方についてサンレモ・マニュアルが、空戦のあり方について"Manual on International Law Applicable to Air and Missile Warfare"が大きな役割を果たしたことを考えると、(サイバー戦争に関するノームの検討について)タリン・マニュアルがの今後の議論の土台となると見る専門家が多く、実際各所で引用されるようになっている。

その地域レベルでの動き

NATO CCDEOほど大掛かりでないものの、地域レベルでサイバーセキュリティに関する備えを進めようとする動きでは以下が代表例としてあげられる。

OSCE(欧州安全保障協力機構(OSCE)

イギリスの呼びかけでノームとCBMに関する議論が行われている。

SCO(上海協力機構)

SCOの中に情報セキュリティの部会がある。前述のInternet Code of ConductはSCOの成果物として国連総会に提出された。

民間

マイクロソフトなどの民間事業者は、(欧州安全保障協力機構やUNGGEで行われているノームの議論は重要であると認めつつも)議論は政府主導であり、今日のインターネットインフラの多くを所有する民間事業者の声が届きにくいと指摘する。現在のベストプラクティスやノームを十分に理解する民間事業者がサイバーの世界のノーム確立に主導的役割を果たしていくべきであるということである。

また多くのITベンダーが国境を超えてグローバルなビジネスを展開していることを考えると、グローバルベンダーがCBMの一つとなると考えるのも不自然でなく、その役割は大きい。

既存のセキュリティインシデント対応を行う組織であるCSIRTは国際的な横のつながりが強く、これがCBMの土台となりうるのではないかという議論もある。

終わりに

サイバー戦争がおこる/おこらないというのは少なくとも5年以上の前の議論であり、上記のグループにおいてはサイバー戦争に対するスタンスの違いはあるものの、それが近い将来起こるという認識が共通されている点は特筆に値する。物騒な時代である。そして多分、情報セキュリティと法律と安全保障の専門家が力を合わせないといけない時代でもある。